有没有办法记录 RHEL6 中更改文件的尝试?

有没有办法记录 RHEL6 中更改文件的尝试?

我们有一个 RHEL6 服务器,它是使用旧的本土构建平台构建的。构建该平台的团队已解散,所有成员均已离开。因此,我们正在试图弄清楚他们为实施旧的“公司安全标准”所做的一切。

每当主机重新启动时,多个文件似乎都会被覆盖(/etc/resolv.conf、/etc/nsswitch.conf 等)。我们已在系统中搜索这些文件中的字符串实例,但找不到它们。据我所知,主机没有运行 puppet 代理(旧平台是在 puppet 上构建的)。主机会在构建时调用 puppet 一次,以从 puppet master 中获取配置,但仅此而已。不存在傀儡审计。

未安装 NetworkManager,并且主机正在运行静态网络配置,因此它不应从 DHCP 提取信息。

我在 /etc/init.d 中没有看到启动期间运行的明显进程,并且我还检查了每个运行级别。查看启动日志,我没有看到任何其他可能导致问题的内容。

作为创可贴,我已将文件设置为不可变,目前来说这是可行的。但如果还有一些我们尚未注意到的其他文件正在更改,它仍然对我没有帮助。理想情况下,我们将使用我们已经实现的新构建系统来重建主机,但这目前不是一个选项(被用作一些正在进行的研究的一部分)。

有什么方法可以跟踪尝试访问文件的进程吗?或者尝试修改文件?如果我能做到这一点,我就可以轻松地追踪正在运行的修改设置的进程,并希望追踪每个正在修改的文件。

相关内容